martes, 28 de marzo de 2023

Procedimiento de Gestión del SII

Fuente del esquema: mvc archivo propio
M. Velasco, 2023. La Arquitectura Procesal del Sistema Interno de Información (SII): Un Análisis Detallado del Procedimiento de Gestión bajo la Ley Española 2/2023 - The Procedural Architecture of the Internal Information System (IIS): A Detailed Analysis of the Management Procedure under Spanish Law 2/2023

Resumen: La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, impone a las organizaciones la obligación de implantar un Sistema Interno de Información (SII), comúnmente denominado Canal de Denuncias. Este trabajo, enmarcado en la Fase 3 del Plan de Implantación del SII (Documentación y Marco Normativo), se centra en la Redacción del Procedimiento de Gestión del SII. Se analiza el flujo completo de una comunicación, desde su recepción hasta la conclusión y archivo, detallando las etapas clave: Recepción, Admisión a Trámite, Investigación, y Conclusión y Archivo. Se destaca la importancia de garantizar la confidencialidad, la protección del informante, y los derechos de la persona afectada, incluyendo el principio de presunción de inocencia y la garantía de audiencia. Un procedimiento sólido y meticulosamente documentado es fundamental para la eficacia del SII y el cumplimiento normativo.

Palabras Clave: Ley 2/2023, Sistema Interno de Información (SII), Canal de Denuncias, Procedimiento de Gestión, Responsable del SII (RSII), Presunción de Inocencia, Protección del Informante

Abstract: Law 2/2023, of February 20, regulating the protection of individuals who report regulatory violations and combating corruption, requires organizations to implement an Internal Information System (IIS), commonly known as a Whistleblowing Channel. This article, framed within Phase 3 of the IIS Implementation Plan (Documentation and Regulatory Framework), focuses on drafting the IIS Management Procedure. It analyzes the complete flow of a report, from its receipt to its conclusion and archiving, detailing the key stages: Receipt, Processing, Investigation, and Conclusion and Archiving. It emphasizes the importance of guaranteeing confidentiality, protecting the whistleblower, and safeguarding the rights of the affected individual, including the principle of presumption of innocence and the right to a hearing. A robust and meticulously documented procedure is fundamental to the effectiveness of the Internal Information System (SII) and regulatory compliance.

Keywords: Law 2/2023, Internal Information System (SII), Whistleblowing Channel, Management Procedure, SII Officer (RSII), Presumption of Innocence, Whistleblower Protection

1. Introducción: La Obligación de un Procedimiento Sólido

La Ley 2/2023 establece un marco jurídico robusto para la protección de las personas que informan sobre infracciones, reforzando la cultura de la integridad en el sector público y privado español. Uno de sus pilares es la exigencia de un SII que garantice la trazabilidad, confidencialidad, y diligencia en la gestión de las informaciones recibidas.

La Fase 3: Documentación y Marco Normativo del Plan de Implantación traduce la obligación legal en normas internas operativas. Dentro de esta fase, la Redacción del Procedimiento de Gestión del SII se erige como el documento que define el cómo la organización responderá a una comunicación de infracción, asegurando la coherencia, la equidad y el estricto cumplimiento legal. Un procedimiento defectuoso puede exponer a la entidad a sanciones y socavar la confianza en el canal. Se desglosa el contenido y los requisitos de cada etapa procesal.

2. Principios Rectores del Procedimiento de Gestión

Antes de detallar el flujo, es imprescindible que el procedimiento se base en los principios establecidos por la Ley 2/2023, garantizando que el diseño procesal cumpla con:
  • Independencia y Autonomía: El Responsable del SII (RSII) debe actuar con total independencia respecto a los órganos directivos en la tramitación de las informaciones.
  • Confidencialidad: Se debe garantizar la identidad de la persona informante y de cualquier tercero mencionado, así como de la persona afectada, a lo largo de todo el proceso. El acceso a la información se limitará estrictamente al RSII y al personal autorizado para la investigación.
  • Prohibición de Represalias: El procedimiento debe enunciar claramente la protección total frente a cualquier forma de represalia contra la persona informante.
  • Presunción de Inocencia y Derecho de Audiencia: El procedimiento debe asegurar los derechos de la persona afectada, incluyendo su derecho a ser oída y a la presunción de inocencia.
  • Diligencia y Plazo: La Ley establece un plazo máximo de tres meses (ampliable a seis meses en casos de especial complejidad, con notificación a la persona informante) para la duración máxima de las actuaciones de investigación y resolución.
3. Detalle del Procedimiento de Gestión del SII

El flujo del procedimiento de gestión se articula en cuatro fases interconectadas, cada una con requisitos y plazos específicos.

3.1. Recepción: Acuse de Recibo y Registro de Entrada

Esta fase es la puerta de entrada de la información y requiere una gestión inmediata y formalizada.

3.1.1. Acuse de Recibo

La Ley exige que, una vez recibida la comunicación o denuncia, se debe enviar un acuse de recibo a la persona informante en un plazo no superior a siete días naturales desde su recepción. Esta obligación solo puede exceptuarse si la persona informante ha renunciado expresamente a él (en la propia comunicación) o si el RSII estima que su envío podría poner en peligro la confidencialidad de la comunicación.

El acuse de recibo debe contener, de forma clara, la indicación de que la información será tratada de manera confidencial y que la persona informante está protegida contra represalias. Es necesario que este paso se automatice en la medida de lo posible para cumplir el plazo legal.

3.1.2. Registro de Entrada

Todas las informaciones recibidas, tanto las que se refieran a infracciones dentro del ámbito de aplicación de la Ley 2/2023 como aquellas que sean inadmitidas o resueltas por otras vías, deben inscribirse en un Libro-Registro de Informaciones.

Este registro es un elemento clave de la trazabilidad y la rendición de cuentas. Debe contener, como mínimo:
  • Fecha y hora de recepción de la comunicación.
  • Tipo de infracción comunicada.
  • Nombre de la persona o entidad, si está identificada, y su relación con la organización.
  • Extracto sucinto de los hechos.
  • Fecha de conclusión de la investigación y archivo (o remisión, en su caso).
  • Resultado de la investigación.

El acceso al Libro-Registro debe estar restringido exclusivamente al RSII y a sus colaboradores directos autorizados, cumpliendo con la normativa de protección de datos (RGPD y LOPDGDD). Es fundamental que el registro se mantenga de forma segura para garantizar la inalterabilidad de los datos.

3.2. Admisión a Trámite: Análisis Inicial por el RSII

Tras el registro, el RSII debe proceder a un análisis inicial o preliminar para determinar la procedencia de iniciar una investigación. Esta fase es de vital importancia, ya que es donde se ejerce el primer filtro de gestión.

3.2.1. Criterios de Admisión

El RSII debe evaluar si la información se refiere a acciones u omisiones que:
  • Son objeto del ámbito de aplicación material de la Ley 2/2023 (infracciones del Derecho de la Unión Europea y otras infracciones graves o muy graves del ordenamiento jurídico nacional).
  • Carecen de fundamento o verosimilitud manifiestos.
  • Son notoriamente infundadas, o se refieren a hechos ya resueltos o que son objeto de otro procedimiento en curso.
  • Se refieren a conflictos interpersonales o hechos que deben ser tramitados por otros cauces internos (acoso laboral, quejas).
3.2.2. Decisión y Notificación

En un plazo que no debe exceder de diez días hábiles desde la comunicación, el RSII debe dictar una resolución de Admisión a Trámite o Inadmisión.
  • Admisión a Trámite: Se inicia formalmente la fase de investigación.
  • Inadmisión: La decisión debe estar debidamente motivada, y se notificará a la persona informante, salvo que haya optado por el anonimato o se ponga en riesgo la confidencialidad.
El RSII debe documentar la decisión, el razonamiento detrás de ella, y la fecha, integrando toda la información en el Libro-Registro.

3.3. Investigación: Fases, Audiencia y Presunción de Inocencia

La fase de investigación es el núcleo del procedimiento y debe diseñarse con rigor, garantizando un equilibrio entre la búsqueda de la verdad y el respeto a los derechos de las personas implicadas.

3.3.1. Fases de la Investigación

La investigación se desarrolla bajo la dirección del RSII, que puede delegar la realización de tareas concretas a personal cualificado o a terceros externos, manteniendo siempre la responsabilidad última sobre el proceso. Las fases típicas incluyen:
  • Planificación: Definición del alcance, los objetivos, y la metodología de la investigación.
  • Recopilación de Evidencias: Obtención y custodia de pruebas documentales, electrónicas, y testimoniales, siempre respetando la legalidad.
  • Entrevistas: Realización de entrevistas confidenciales al informante (si está identificado y consiente), a la persona afectada, y a testigos, documentando cada encuentro.
  • Análisis y Valoración: Evaluación objetiva de las pruebas y hechos para determinar la veracidad de la información y la posible existencia de la infracción.
3.3.2. Garantía de Audiencia a la Persona Afectada

La garantía de audiencia es un derecho fundamental que debe ser escrupulosamente respetado en la investigación interna. En el momento oportuno, y antes de emitir la propuesta de resolución final, se notificará a la persona afectada (aquella a la que se atribuyen los hechos) la existencia del procedimiento y los hechos que se le imputan, dándole la oportunidad de:
  • Ser Oída: Presentar alegaciones, documentos y pruebas en su defensa.
  • Acceder al Expediente: Se le debe dar acceso a la parte del expediente que contenga los hechos imputados y las pruebas que sustentan la imputación, respetando la confidencialidad del informante.
3.3.3. Principio de Presunción de Inocencia

El procedimiento debe reiterar que la persona afectada se considera inocente hasta que se demuestre lo contrario. Esto implica que:
  • Las conclusiones de la investigación deben basarse en pruebas objetivas que desvirtúen la presunción de inocencia.
  • Toda actuación debe respetar su honor y dignidad; las medidas cautelares (separación del puesto...) solo se adoptarán de manera excepcional, motivada, proporcionada y temporal.
El RSII debe extremar las cautelas para asegurar que la investigación no se convierta en un proceso punitivo per se, sino en un mecanismo de averiguación de hechos.

3.4. Conclusión y Archivo: Adopción de Medidas y Cierre

La investigación culmina con una propuesta de resolución que se eleva al órgano competente para la adopción de medidas o el archivo de las actuaciones.

3.4.1. Conclusión de la Investigación

La propuesta de resolución del RSII debe establecer de forma motivada si:
  • Se confirma la infracción: En este caso, se propondrá la adopción de medidas correctoras.
  • No se confirma la infracción: Se propondrá el archivo.

El RSII deberá dejar constancia de la conclusión en el Libro-Registro, especificando si se ha confirmado o no la infracción y el resultado de la gestión.

3.4.2. Adopción de Medidas Correctoras

Si la investigación concluye con la confirmación de la infracción, el RSII remitirá la propuesta al órgano competente (Dirección, Comité de Cumplimiento) para que adopte las medidas correctoras o disciplinarias que correspondan. Estas medidas deben ser:
  • Proporcionadas: Adecuadas a la gravedad de los hechos probados.
  • Efectivas: Destinadas a cesar la infracción y prevenir su reiteración.
Si los hechos pudieran ser constitutivos de delito, el RSII deberá remitir la información al Ministerio Fiscal, sin perjuicio de continuar la investigación interna.

3.4.3. Decisión de Archivo

El archivo se producirá cuando:
  • La investigación no haya confirmado la existencia de la infracción.
  • La persona informante se haya retractado (aunque esto no obliga al archivo si el RSII considera que los hechos deben investigarse).
  • Se haya producido la inadmisión inicial.
La decisión de archivo debe ser notificada a la persona informante y a la persona afectada, motivando las razones del cierre del expediente.

4. La Importancia del Lenguaje Inclusivo en el Procedimiento

La redacción de cualquier documento normativo en el marco de la Ley 2/2023 debe adoptar un lenguaje inclusivo y no sexista. Esto no es solo una cuestión de estilo, sino de respeto y cumplimiento de los principios de igualdad.

El procedimiento debe referirse a la persona informante, la persona afectada, el RSII o las personas investigadoras. Esta elección terminológica refleja el compromiso de la organización con un entorno de trabajo y cumplimiento ético que valora a todas las personas por igual.

5. Ejemplo de Procedimiento de Gestión del Sistema Interno de Información (SII)

Organización: [Nombre de la Organización]

Documento: Procedimiento de Gestión del Sistema Interno de Información (SII)

Código: P-SII-001

Versión: 1.0

Fecha de Aprobación: [Fecha]

1. Objeto y Ámbito de Aplicación

El presente procedimiento tiene por objeto establecer el flujo de trabajo detallado y las responsabilidades para la gestión de todas las comunicaciones recibidas a través del Sistema Interno de Información (SII) de [Nombre de la Organización], conforme a lo dispuesto en la Ley 2/2023, de 20 de febrero, y garantizar la máxima confidencialidad, protección del informante y respeto a los derechos de las personas afectadas.

Aplica a toda persona informante (empleada, directiva, proveedora, o cualquier tercero) y a toda comunicación que verse sobre infracciones incluidas en el ámbito material de la Ley 2/2023.

2. Definiciones Clave
  • SII: Sistema Interno de Información, conocido como Canal de Denuncias.
  • RSII: Responsable del Sistema Interno de Información. Persona u órgano independiente encargado de gestionar el SII.
  • Información/Comunicación: Notificación de hechos potencialmente constitutivos de infracción.
  • Persona Informante: Quien comunica la información.
  • Persona Afectada: Aquella a la que se atribuyen los hechos de la información.
3. Flujo de Gestión del Procedimiento

El proceso se estructura en cuatro fases principales, con un plazo máximo de tres meses desde el acuse de recibo hasta la conclusión de las actuaciones.

FASE I: Recepción y Registro



FASE II: Admisión a Trámite


FASE III: Investigación

La investigación se llevará a cabo de forma confidencial, con imparcialidad y siempre bajo el principio de presunción de inocencia de la Persona Afectada.
FASE IV: Conclusión y Archivo

El plazo total (Fases I a IV) no debe exceder de tres meses, salvo que se notifique al informante la necesidad de una extensión (máximo seis meses).


4. Principios Transversales del Procedimiento

  • Confidencialidad: Se garantiza la protección de la identidad de la Persona Informante y Afectada en todo momento. Solo tendrán acceso a la información el RSII y el equipo investigador.
  • Protección contra Represalias: Cualquier acto de represalia contra la Persona Informante o sus colaboradores será considerado una infracción grave y dará lugar a las acciones disciplinarias y legales pertinentes.
  • Protección de Datos Personales: El tratamiento de datos se regirá por el RGPD y la LOPDGDD. Los datos serán conservados solo el tiempo estrictamente necesario (no más de 10 años, si no hay acción legal).
  • Anonimato: Las comunicaciones anónimas serán tramitadas con el mismo rigor y diligencia que las comunicaciones identificadas, si cumplen con los requisitos de admisibilidad.

5. Documentación Asociada
  1. Libro-Registro de Informaciones.
  2. Modelo de Acuse de Recibo.
  3. Modelo de Notificación a la Persona Afectada (Derecho de Audiencia).
  4. Modelo de Resolución de Archivo / Conclusión.
Aprobado por: [Firma del Órgano de Gobierno o Consejo de Administración]

Cargo: [Cargo del Aprobador]

6. Consideraciones Finales y Retos de la Documentación

La Fase 3 del Plan de Implantación del SII culmina con un Procedimiento de Gestión que debe ser exhaustivo, claro y fácil de entender por toda la organización.

El principal reto es equilibrar la garantía procesal (derecho de audiencia, presunción de inocencia, plazos) con la eficacia de la investigación.

La documentación final debe incluir:
  • El diagrama de flujo del proceso de gestión (mencionado previamente, se sugiere incluir un ).
  • Los modelos de comunicaciones internas (acuse de recibo, notificación de inicio de investigación, trámite de audiencia, etc.).
  • Un anexo sobre la gestión de datos personales y la seguridad de la información.
Un procedimiento bien redactado es la base para una gestión de denuncias justa, confiable y, sobre todo, legalmente conforme.

7. Referencias

Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Boletín Oficial del Estado, núm. 44, de 21 de febrero de 2023.

Normativa de Compliance Penal (art. 31 bis del Código Penal) que actúa como marco complementario y de buenas prácticas para la implementación de canales internos.